CISSP考試心得-Alex Yeh 心智圖 心智圖PDF Structure Architecture Framework Approach Methodology Domain 口訣 Domain 1. Security and Risk Management C、I、A+GRC(安全和風險管理) Domain 2. Asset Security 盤點、分類、保護(資產安全) Domain 3. Security Architecture and Engineering 時時都安全、處處都安全(安全架構和工程) Domain 4. Communication and Network Security 處處都安全(通信及網路安全) Domain 5. Identity and Access Management (IAM) I + 3A(身分識別及存取控制) Domain 6. Security Assessment and Testing 查驗、訪談、測試(安全評鑑及測試) Domain 7. Security Operations 日常維運、持續改善(安全維運) Domain 8. Software Development Security 時時都安全、處處都安全(軟體開發安全) 美國法定目標(FISMA)/ 資通安全法 CIA C機密性:資料不被偷 I完整性:資料不被竄改 A可用性:資料隨時可用 Integrity完整性 Data Integrity(資料完整性) Authenticity(資料真偽;真實性) Non-repudiation 不可否認性(法律上):傳送方不能否認未傳收;接受方不能否認未收到。 FISMA NIST FIPS 199 NIST SP 800 資產Asset:有價值Value的東西,且值得保護 Assets 通常指資訊系統 資料 電腦系統 操作系統 軟體 網路 資料中心(機房) 人(最重要) 業務流程 資安目標(定義): 透過安全管制措施,保護資訊資產不受到危害,以達到CIA目標 進而支持組織的業務流程 將安全融入組織業務流程(人事/採購),產銷人發財 支持組織的「產品」及「服務」持續交付 為公司創造價值,實現公司的使命及願景 公司最高經營階層的管理作為就叫做治理. 管理是達成目標的一套有系統的